La société Lookout Inc vient de publier l’analyse d’un nouveau cheval de Troie fonctionnant sur l’OS Android et donc destiné à infecter des téléphones mobiles. Ce n’est pas la première fois que ce système est ciblé par des malwares, mais ce cheval de Troie possède des caractéristiques inédites.
Tout d’abord, ce malware dispose d’une fonction de communication avec un serveur distant, accessible en HTTP, sous contrôle du pirate. En soi, c’est déjà relativement nouveau : les téléphones mobiles n’étant pas systématiquement liés à des abonnements data pour l’accès à Internet, beaucoup de malwares font l’impasse sur ce mode de communication. Fin 2009, le cheval de Troe Ikee.B sous iPhone possédait déjà cette fonctionnalité, mais faisait figure d’exception. Dans le cas de Geinimi, les communications avec le serveur sont chiffrées en DES ; le malware contacte tous les cinq minutes un serveur choisi parmi une liste de dix serveurs (Lookout cite les adresses : www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com et www.piajesj.com).
Le malware est attaché à des applications légitimes : le lancement de l’application provoquera l’installation du malware. Il apparaît sur des sites chinois de téléchargement d’applications Android (mais a priori pas sur l’Android Market). D’après Lookout, le malware est attaché à des applications telles que Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense et Baseball Superstars 2010.
Par ailleurs, le malware est lourdement obfusqué pour empêcher son analyse : en effet, les applications Java possèdent le fâcheux problème d’être très simplement décompilables, un simple utilitaire permettant d’en retrouver le code-source original ; idéal pour analyser et modifier un programme. C’est pourquoi les créateurs de Geinimi ont fait appel à un logiciel destiné à rendre le programme le plus illisible possible à l’oeil humain (tout en restant compréhensible pour une machine), afin d’en compliquer l’analyse.
Un examen du code-source du malware permet de confirmer la plupart des observations de Lookout. Le cheval de Troie possède a minima les fonctionnalités suivantes :
- Dérober les identifiants IMEI et IMSI du téléphone, ainsi que bon nombre d’autres informations techniques disponibles(nom de l’opérateur réseau, nom de l’opérateur de la SIM, numéro de téléphone de la victime, numéro de sa boîte vocale, le modèle du téléphone utilisé…) ;
- Géolocaliser sa victime via le GPS intégré du téléphone ;
- Envoyer au fraudeur la liste des applications installées sur le terminal ;
- Télécharger une nouvelle application et l’installer (en demandant cependant la permission à l’utilisateur), et désinstaller une application ;
- Accéder au carnet de contacts de l’utilisateur et à ses signets web ;
- Envoyer des SMS et des e-mails ;
- Changer le fond d’écran.
La combinaison de ces multiples fonctions en fait à ce jour le malware Android le plus évolué parmi les malwares connus, quoiqu’il manque encore quelques éléments importants pour pouvoir vraiment parler de « botnet mobile » ; par exemple, il n’est pas encore établi que le fraudeur puisse émettre des commandes à destination des terminaux infectés. Le schéma de fraude associé à ce malware n’est pas non plus clairement identifié, mais d’après les fonctionnalités dont il dispose, il pourrait par exemple s’agir d’envoi de SMS surtaxés ou de surveillance ciblée de personnes particulières.
Les noms de domaine utilisés par ce malware pour communiquer avec l’extérieur sont relativement récents (fin octobre) ; il n’est pas non plus possible à ce stade d’estimer le nombre de terminaux infectés. L’origine du malware est cependant très probablement en Chine, son code-source faisant état de nombreuses références à cette région du globe. Par ailleurs, les domaines avec lesquels le malware communique ont été enregistrés sous le nom « Liu Changqiang », qui semble vraiment habiter à l’adresse indiquée à Shanghai et répondre au numéro de téléphone mentionné — on trouve même dans le cache de Google une annonce de location d’appartement associant cette identité et ces coordonnées téléphoniques. Les criminels expérimentés ayant l’habitude d’utiliser de fausses coordonnées, on peut s’étonner de cette légèreté ; à moins qu’il ne s’agisse d’une identité volée.